SysJoker è il malware multipiattaforma mai visto prima: attenzione a Windows, macOS e Linux

SysJoker è il malware multipiattaforma mai visto prima: attenzione a Windows, macOS e Linux

Individuato un nuovo malware-backdoor che prende di mira, in maniera inusuale, i sistemi operativi Windows macOS e Linux

di pubblicata il , alle 15:21 nel canale Sicurezza
WindowsmacOSLinux
 

La società di sicurezza Intezer ha individuato un malware-backdoor mai visto prima d'ora e realizzato completamente ex-novo per i sistemi operativi Windows, macOS e Linux e che fino ad ora non è mai stato rilevato da alcun motore di scansione di malware.

Battezzato SysJoker, il nuovo malware è stato individuato sul server web Linux di una "leading educational istitution". Approfondendo quanto individuato i ricercatori hanno trovato versioni di SysJoker sia per Windows, sia per macOS e sospettano che il malware multi-piattaforma sia in circolazione dalla metà del 2021.

Si tratta di una scoperta abbastanza significativa per una serie di motivi. Anzitutto il malware è multipiattaforma, evenienza abbastanza rara poiché la maggior parte dei malware vengono scritti con uno specifico sistema operativo in mente. In secondo luogo, non per importanza, si tratta di un malware realizzato ex-novo e che fa uso di quattro server C&C separati, il che sta a significare che la mano dietro lo sviluppo di SysJoker è verosimilmente un attore di minaccia avanzato e che può contare su sostanziali risorse. E resta insolito il fatto che un malware Linux sconosciuto venga individuato in un attacco nel mondo reale.

Intezer ha condotto un'analisi della versione Windows, mentre Patrick Wardle, noto ricercatore di sicurezza, ha analizzato la versione per macOS. Entrambi hanno rilevato che SysJoker mette a disposizione avanzate funzionalità backdoor rendendolo in tutto e per tutto un RAT - Remote Access Tool. I file eseguibili per entrambe le versioni hanno suffisso .ts.

Nel caso di Windows il suffisso .ts potrebbe essere usato per far passare il malware come fosse un file di script. Intezer non è stata in grado di stabilire in maniera definitiva in che modo possa essere stato installato il malware. E' possibile, ma non certo, che sia stato installato tramite un pacchetto npm dannoso o utilizzando una falsa estensione per nascondere il programma di installazione. Ciò suggerirebbe che le infezioni rilevate non siano state frutto dello sfruttamento di una vulnerabilità, ma esito di un'azione di ingerneria sociale volta ad ingannare possibili utenti-bersaglio.

Wardle afferma che l'estensione .ts in ambiente macOS potrebbe essere usata per mascherare il malware da file video transport strea,. Il ricercatore ha inoltre scoperto che la versione macOS era firmata digitalmente, seppur con una firma ad hoc.

SysJoker è stato scritto in C++. La backdoor genera l'indirizzo del server di controllo andando a decodificare una stringa recuperata da un file di testo conservato su Google Drive. I ricercatori, durante la fase di analisi, hanno riscontrato che il server C&C è cambiato tre volte, ad indicazione dell'effettiva attività dell'attaccante nel monitorare le macchine infette.

A fronte delle organizzazioni prese di mira e del comportamento del malware, Intezer ritiene che SysJoker sia uno strumento utilizzato per scopi di spionaggio verso obiettivi specifici e "lateral movement" (cioè penetrazione e spostamento all'interno di una rete) con possibilità di persistenza e successivi attacchi ransomware.

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Saturn17 Gennaio 2022, 15:40 #1
Ovviamente sempre a condizione che l'ormai noto "utente inesperto" (o troppo ingrifato) apra il classico allegato infetto o accetti "di installare i codec" nel sito web per vedere il "documentario" sulla riproduzione dei mammiferi, giusto ?
Eh allora...campa cavallo "lo aspetto" con il sorriso questo nuova creazione atta a far danno !

Interessante comunque che funzioni su più sistemi operativi. Almeno è democratico !
barzokk17 Gennaio 2022, 16:22 #2
Linux
Files and directories created on the machine:
/.Library/
/.Library/SystemServices/updateSystem
/.Library/SystemNetwork
/.Library/log.txt

Persistence:
Creates the cron job:
@reboot (/.Library/SystemServices/updateSystem)



minghia roba tosta da sgamare eh
zappy17 Gennaio 2022, 17:27 #3
Originariamente inviato da: barzokk
Linux
Files and directories created on the machine:
/.Library/
/.Library/SystemServices/updateSystem
/.Library/SystemNetwork
/.Library/log.txt

Persistence:
Creates the cron job:
@reboot (/.Library/SystemServices/updateSystem)



minghia roba tosta da sgamare eh

beh, non è che uno tutti i giorni perlustra tutte le cartelle della macchian per vedere se c'è qualche cosa di nuovo... anche perchè c'è sempre qualcosa di nuovo e legittimo...
Sandro kensan17 Gennaio 2022, 18:06 #4
Vuol dire che se uno non ha la cartella /.Library allora è a posto?

Mi chiedo come possa essere che questo RAT abbia i diritti di root. Perché per creare una directory in / non bastano i diritti utente. Se un sistema linux è aggiornato puoi fare un privilege escalation solo con un bug zero day importante. Oppure devi convincere un utente ad installare il tuo malware come se fosse un pacchetto di sistema e questa la vedo veramente dura.
marcram17 Gennaio 2022, 18:19 #5
Originariamente inviato da: Sandro kensan
...Oppure devi convincere un utente ad installare il tuo malware come se fosse un pacchetto di sistema e questa la vedo veramente dura.

Dall'articolo sembra proprio che il trucco sia fregare l'utente... trovi sempre quello che inserisce indiscriminatamente la password di root ad ogni richiesta...
omerook17 Gennaio 2022, 18:27 #6
Ma l'utente linux non lo vedo che ti mette la pass di root per visualizzare il pdf arrivato per posta...poi tutto puó essere
Sandro kensan17 Gennaio 2022, 21:02 #7
Originariamente inviato da: marcram
Dall'articolo sembra proprio che il trucco sia fregare l'utente... trovi sempre quello che inserisce indiscriminatamente la password di root ad ogni richiesta...


Veramente? Non credo proprio. Un utente linux non ha mai necessità di inserire la password di root eccetto che per gli aggiornamenti che arrivano direttamente dai Repository. Altri casi in cui deve inserire la pwd di root sono operazioni specifiche che però un utente linux sa bene di doverle fare come root. Certo se arriva un file in una email non lo installa come root. Al massimo uno ci clicca sopra se è della banca o di una persona che gli sembra conosciuta. Per questo parlavo di falla zero day con un privilege escalation.
zappy17 Gennaio 2022, 21:40 #8
Originariamente inviato da: Sandro kensan
Veramente? Non credo proprio. Un utente linux non ha mai necessità di inserire la password di root eccetto che per gli aggiornamenti che arrivano direttamente dai Repository. Altri casi in cui deve inserire la pwd di root sono operazioni specifiche che però un utente linux sa bene di doverle fare come root. Certo se arriva un file in una email non lo installa come root. Al massimo uno ci clicca sopra se è della banca o di una persona che gli sembra conosciuta. Per questo parlavo di falla zero day con un privilege escalation.

o di pacchetti infetti nei repo...
marcram17 Gennaio 2022, 22:04 #9
Originariamente inviato da: Sandro kensan
Veramente? Non credo proprio. Un utente linux non ha mai necessità di inserire la password di root eccetto che per gli aggiornamenti che arrivano direttamente dai Repository. Altri casi in cui deve inserire la pwd di root sono operazioni specifiche che però un utente linux sa bene di doverle fare come root. Certo se arriva un file in una email non lo installa come root. Al massimo uno ci clicca sopra se è della banca o di una persona che gli sembra conosciuta. Per questo parlavo di falla zero day con un privilege escalation.

Ma infatti, anche per me è difficile che possa diffondersi sul pinguino. Ma se l'utente si mette proprio d'impegno per eseguire file sconosciuti come root...
Altrimenti non capisco la notizia, visto che non si parla di sfruttamento di falle...

Probabilmente si intende solo che il malware PUÒ essere eseguito anche su Linux, se proprio l'utente vuole...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^